csabr - cloud computing: entendendo os riscos no horizonte 20110718 ideti
DESCRIPTION
PresentTRANSCRIPT
1
Computação em Nuvem Entendendo os Riscos no Horizonte
Anchises M. G. De Paula Diretor, CSA Brasil Analista de Inteligência, Verisign
2
– Porque segurança em Computação em Nuvem? – Principais Riscos – Principais ameaças
Agenda
3
CLOUD COMPUTING SECURITY Porque segurança em Computação em Nuvem?
4
Computação em nuvem é um conceito em evolução – Preocupação com segurança crescendo – Necessidades e incidentes específicos.
Computação em Nuvem
fonte: infosuck.org
5
Cloud Compu3ng é seguro?
• Depende...
• Seguro comparado com o que? – Precisamos de um contexto
fonte: sx
c.hu
6
– Computação em Nuvem não é mais ou menos segura
– Os controles de segurança para Computação em Nuvem não são diferentes dos controles de segurança para qualquer ambiente de TI.
Considerações de Segurança
fonte: sxc.hu
7
Modelo de Referência – Relações e dependências entre os modelos de Computação em Nuvem
– CaracterísXcas são herdadas
– Também são herdadas as questões de segurança da informação e o risco
Computação em Nuvem
fonte: CSA
8
Segurança da Computação em Nuvem
S E G U R A N Ç A
Cliente
Provedor
fonte: CSA
9
Como integrar a segurança
fonte: CSA
10
• IdenXficar o aXvo para implantação na nuvem
• Entender as necessidades e os riscos
• Mapear o aXvo com o modelo de implantação
• Avaliar os modelos de serviços e fornecedores
• Selecionar estratégias de miXgação
Estratégia para Análise de Riscos
fonte: sxc.hu
11
Mapear o Modelo de Nuvem para o Modelo de Controles de Segurança & Conformidade
Segurança da Computação em Nuvem
fonte: CSA
12
NOVOS RISCOS Riscos na adoção da Computação em Nuvem
13
Riscos de Cloud Compu3ng
• Computação em Nuvem cria novos riscos e novas oportunidades
2/22/10 El 68% de los CIO europeos considera la seguridad como el principal inconveniente del cloud compuEng by Segu.info Según un informe de Colt entre responsables de TI de 13 países europeos, el 68% de los encuestados cree que la seguridad es la principal barrera para la adopción de servicios cloud compuEng, cifra que en España alcanza el 79%.
14
Riscos de Cloud Compu3ng
• Cloud CompuXng herda vários riscos associados às tecnologias que uXliza
• Conjunto específico de atributos que tornam a análise de riscos mais complexa – Novos paradigmas – Detalhes obscuros do CSP
15
Principais Riscos na Nuvem “Guia de Segurança para Áreas CríXcas Focado em Computação em Nuvem V2.1”
• Domínio 1: Framework da Arquitetura de Computação em Nuvem • Domínio 2: Governança e Gestão de Risco CorporaXvo • Domínio 3: Aspectos Legais e Electronic Discovery • Domínio 4: Conformidade e Auditoria • Domínio 5: Gerenciamento do Ciclo de Vida das Informações • Domínio 6: Portabilidade e Interoperabilidade • Domínio 7: Segurança Tradicional, ConXnuidade
de Negócios e Recuperação de Desastres • Domínio 8: Operações e Data center • Domínio 9: Resposta a Incidente, NoXficação e Remediação • Domínio 10: Segurança de Aplicações • Domínio 11: Criptografia e Gerenciamento de Chaves • Domínio 12: Gerenciamento de IdenXdade e Acesso • Domínio 13 -‐ Virtualização
15
Seção III. Operando na Nuvem
Seção II. Governança na Nuvem
Seção I. Arquitetura da Nuvem
16
• Como governar e medir o risco introduzido pela Computação em Nuvem
• Responsabilidade para proteger dados sensíveis caso o provedor ou usuário falharem
• Como essas questões são afetadas por fronteiras internacionais
Novos riscos? Alguns provedores restringem avaliações de vulnerabilidades ou testes de invasão Disponibilidade limitada dos logs de auditoria e do monitoramento de aXvidades.
Governança e Gestão de Riscos Corpora3vos
17
• Problemas legais em potencial ao se uXlizar Computação em Nuvem
• Requisitos de proteção da informação
• Requisitos regulatórios
• Leis internacionais
Novos riscos? Onde o provedor de serviços de nuvem irá hospedar os dados? • Conformidade com leis
locais • Ex: Restrição do fluxo de
dados além das fronteiras, leis sobre privacidade, etc
Aspectos Legais e Electronic Discovery
18
• Manutenção e comprovação de conformidade ao usar a Computação em Nuvem
• Como a Computação em Nuvem afeta o cumprimento de políXcas de segurança interna e requisitos de conformidade
• Como comprovar a conformidade
Novos riscos? Direito de Auditar Processos para coletar e armazenar evidências de conformidade
Conformidade e Auditoria
19
• Gerenciamento dos dados colocados na Nuvem
• Confidencialidade, integridade e disponibilidade
• Controles compensatórios para lidar com a perda de controle lsico
Novos riscos?
Gerenciamento do Ciclo de Vida das Informações
fonte: CSA
Acesso intra-‐nuvem
MúlEplas transferências
de dados Término dos serviços
20
• Habilidade de mover dados e/ou serviços de um provedor para outro ou totalmente de volta para a empresa
• Interoperabilidade entre fornecedores
Novos riscos? “Lock-‐in” Falta de padrões de interoperabilidade Ambientes proprietários
Portabilidade e Interoperabilidade
A
B
21
• Como a Computação em Nuvem afeta os processos e procedimentos operacionais de segurança, BCP e DRP
• A Computação em Nuvem pode ajudar a diminuir certos riscos, ou implica em aumento dos riscos
Novos riscos? Ritmo acelerado de mudanças Falta de transparência Controle e monitoração cononua dos provedores de nuvem • Ciclos mais frequentes de
monitoração e auditoria
Segurança Tradicional, Cont. de Negócios e Recuperação de Desastres
22
• Como avaliar a arquitetura e a operação de um fornecedor de Data Center
• CaracterísXcas de Data Centers que podem ser prejudiciais e as fundamentais para estabilidade a longo prazo
Novos riscos? Capacidades reais dos provedores
Operações e Data Center
Mar. 13, 2010 Amazon cloud outage was triggered by configuraEon error By Computerworld Amazon has released a detailed postmortem and mea culpa about the parEal outage of its cloud services pla_orm last week and idenEfied the culprit: A configuraEon error made during a network upgrade.
23
• Detecção de incidentes, resposta, noXficação e correção
• Aborda prestadores de serviços e consumidores
• Forense computacional
Novos riscos? Dependência do CSP para resposta a incidentes e invesXgação • MúlXplos clientes, logs
agregados Forense na “nuvem”?
Resposta a Incidente, No3ficação e Remediação
24
• Modos de proteger a aplicação sendo executada ou desenvolvida na nuvem
• É apropriado migrar ou projetar uma aplicação na nuvem?
• Qual melhor modelo (SaaS, PaaS ou IaaS) ?
Novos riscos? Nova Arquitetura de Segurança da Aplicação Dependências Comunicação inter-‐hosts
Segurança de Aplicações
25
• DiscuXr por que criptografia é necessária
• Proteger o acesso aos recursos ou proteger os dados
Novos riscos? Comunicação inter-‐hosts Dados em repouso • Em disco ou em banco de
dados de produção Dados em backup
Criptografia e Gerenciamento de Chaves
26
• Foco em riscos quando se estende a idenXdade de uma organização para Nuvem
• Avaliar a capacidade da organização para realizar a gestão de idenXdade e acesso baseados na Nuvem
Novos riscos? Gerenciamento de IdenXdade e Acesso • Como estender os
processos e práXcas aos serviços de nuvem
• Controlar e auditar o acesso ao serviço de nuvem
• AutenXcação forte
Gerenciamento de Iden3dade e Acesso
27
• Questões de segurança em torno do sistema/hardware de virtualização em Computação em Nuvem
• Aborda riscos associados com mulXlocação
• Isolamento de VMs • Vulnerabilidades em
Hypervisor
Novos riscos? Comunicação entre hardware, e não através de rede ComparXmentalização e elevação do nível de segurança em sistemas virtuais Centralização dos dados
Virtualização
28
PRINCIPAIS AMEAÇAS Sete principais ameaças na adoção da Computação em Nuvem
29
1-‐ Abuso e uso Malicioso de Computação em Nuvem – Qualquer pessoa com um cartão de crédito válido pode se registrar e usar os serviços em nuvem
• Spammers, autores de códigos maliciosos e criminosos • Uso anônimo e impune
– Usos maliciosos • Quebra de senhas • Realizar ataques (ex: DDoS) • Hospedar dados maliciosos • Controle de botnets
Principais Riscos Para Computação em Nuvem
IaaS PaaS SaaS
CSA Guidance: Domínios 8 e 9
30
2-‐ Interfaces e APIs Inseguras – Segurança e disponibilidade dos serviços na nuvem são dependentes das interfaces e APIs de gerenciamento – Falhas acidentais ou mal intencionadas – Complexidade
• Serviços desconhecidos – Controle de acesso
• Acessos anônonimos • Senhas e dados trafegados em aberto
Principais Riscos Para Computação em Nuvem
IaaS PaaS SaaS
CSA Guidance: Domínio 10
31
3-‐ Usuários Internos Maliciosos – Ameaça amplificada
• Convergência de serviços e usuários • Falta de transparência do provedor • Funcionários do provedor • Baixo risco de detecção
– Potenciais ameaças • Concorrentes • Espionagem • Hackers
Principais Riscos Para Computação em Nuvem
IaaS PaaS SaaS
CSA Guidance: Domínios 2 e 7
32
4-‐ Uso de Tecnologias de ComparXlhamento – Forte isolamento em ambientes mulX-‐locatários – Falhas no sistema de controle (hypervisor)
• Sistemas virtuais podem ter acesso ao sistema hospedeiro • Falha nos controles e isolamento
– Clientes não devem ter acesso a dados de outros clientes
• Dados atuais ou residuais • Tráfego de rede
Principais Riscos Para Computação em Nuvem
IaaS PaaS SaaS
CSA Guidance: Domínios 8 e 13
33
5-‐ Perda ou Vazamento de Dados – Pode ser devastador para uma empresa – Arquitetura e ambiente da Nuvem aumentam os riscos
• Falha nos controles de autenXcação, autorização e auditoria (AAA) • Falhas operacionais • Persistência e remanescência dos dados • Jurisdição • Disponibilidade do provedor
Principais Riscos Para Computação em Nuvem
IaaS PaaS SaaS
CSA Guidance: Domínios 5, 11 e 12
34
6-‐ Sequestro de Serviço ou de Conta – Roubo de credenciais
• Phishing, fraude ou exploração de falhas – Acesso indevido a Nuvem
• Acessar dados e transações • Manipulação dos dados • Redirecionar usuários para outros sites
Principais Riscos Para Computação em Nuvem
IaaS PaaS SaaS
CSA Guidance: Domínios 2, 9 e 12
35
7-‐ Riscos Desconhecidos – Na Computação em Nuvem, as empresas abrem mão da gestão do hardware e do soxware para focar no negócio
• Segurança por obscuridade e baixo esforço • Perde controles de segurança
– Detalhes de operação e compliance do fornecedor • Versão de soxware e atualização de código • Com quem você comparXlha a infra-‐estrutura • TentaXvas de ataque • Guarda de logs
Principais Riscos Para Computação em Nuvem
IaaS PaaS SaaS
CSA Guidance: Domínios 2, 3, 8 e 9
36
CONCLUSÕES
37
Segurança de Cloud Compu3ng
• Análise de riscos é fundamental
• Segurança na “nuvem” não é muito diferente das necessidades “pré-‐nuvem”
fonte: sxc.hu
38
Previsão do Tempo
• Muitas nuvens a frente • Sujeito a chuvas e trovoadas esporádicas
• Tenha sempre um guarda-‐chuva guardado
fonte: Wikimedia Commons
39
• NIST Cloud CompuXng Project hPp://csrc.nist.gov/groups/SNS/cloud-‐compu3ng/index.html
• “Cloud CompuXng: Benefits, risks and recommendaXons for informaXon security” hPp://www.enisa.europa.eu/act/rm/files/deliverables/cloud-‐
compu3ng-‐risk-‐assessment
Referências
39
40
Security Guidance for CriXcal Areas of Focus in Cloud CompuXng v. 2.1 – Referência para análise dos riscos hzp://www.cloudsecurityalliance.org/guidance/csaguide.pdf
Top Threats to Cloud CompuXng V1.0 – Sete principais riscos hzp://www.cloudsecurityalliance.org/topthreats.html
Referências
41
Referências
• “CSA Cloud Controls Matrix V1” – Lançado em 27 de Abril 27, 2010 – hzp://www.cloudsecurityalliance.org/cm.html
41
42
Anchises M. G. de Paula Membro da CSA Brasil [email protected] twizer.com/anchisesbr
twizer.com/csabr hzps://chapters.cloudsecurityalliance.org/brazil
hzp://www.cloudsecurityalliance.org
Obrigado
43
Sobre a Cloud Security Alliance
– Associação sem fins lucraXvos – Oficializada em Dezembro de 2008 – +12mil Membros – Presente em vários países através de Chapters locais
44
To promote the use of best pracXces for providing security assurance within Cloud CompuXng, and provide educaXon on the uses of Cloud CompuXng to help secure all other forms of compuXng.
CSA: Missão
fonte: sxc.hu
45
CSA Brasil: Overview
– Segundo Chapter oficial da CSA – Oficializado em 27 de Maio de 2010 – Mais de 100 membros – Board: Leonardo Goldim; Anchises Moraes, Jaime OrXs y Lugo, Jordan Bonagura, Olympio Renno – Segue Missão e ObjeXvos da CSA Global